Il fut un temps pas si lointain où les smartphones n’existaient pas. On appelait encore les téléphones intelligents des « feature phones ». Nokia, marque européenne, régnait en maître sur la téléphonie mobile. Pouvoir écouter des chansons en MP3 était une superbe fonctionnalité.
Et un temps moins lointain au début des années 2010 où l’Iphone venait d’apparaître, mais de nombreux OS concurrents étaient là : le petit nouveau « Android » de Google, mais aussi Blackberry, Symbian, Windows Phone. Des « libristes » se lançaient aussi dans l’aventure, comme FirefoxOS ou Ubuntu Touch.
Aujourd’hui, tous les concurrents ont renoncé. Microsoft s’est recentré sur le logiciel (au point que son OS historique, Windows, est presque gratuit et sert principalement à vendre du Office et des apps dans un app store). Android a au niveau mondial 85% de part de marché, et IOS 14.7%…
Autant dire qu’il est devenu difficile d’échapper à ces deux là.
La vie privée ? c’est quoi ?
Petit souci. En 2013, grâce aux révélations d’Edward Snowden, nous avons appris que le gouvernement américain (et d’autres pays qui achètent leurs services) nous espionnent allègrement. Google, Microsoft, Apple, Skype, Facebook, (à l’époque il n’y a avait pas Twitter dans la liste, mais cela a peut-être changé) donnent tous un accès libre à la CIA/NSA/FBI/…. pour faire une recherche par email de n’importe quel utilisateur pour accéder à tout son contenu : images et photos, messages, amis, etc.. y compris ce qui est privé.
En plus de cela, les révélations nous ont appris deux choses :
- Le gouvernement américain contrôle la plupart, si ce n’est tous les câbles sous-marins transatlantiques : il a installé dans les chambres de fibre optique, des « câbles parallèles » qui copient l’entièreté des données circulant sur les câbles et les envoient au gouvernement américain. Cela signifie que tout le trafic non HTTPS est à leur disposition.
- Pire encore : le trafic sécurisé est lui aussi en bonne partie déchiffré : les américains auraient fait en 2010 une avancée majeure pour déchiffrer les quelques clés de chiffrements les plus utilisées dans le protocole SSL (utilisé par HTTPS, les VPN, la connexion sécurisée aux serveurs « SSH », etc.). Ainsi, s’ils ne peuvent pas encore déchiffrer tout le trafic chiffré, ils ont la possibilité d’en déchiffrer une bonne partie (est ce que c’est une session sur 10 de manière aléatoire, ou une sur 10 mais toujours les mêmes, ce n’est pas clair, mais en tout cas on parlait de 10% du trafic avec juste 2 ou 3 master Keys SSL crackées).
- Bien sûr, ces données représentent une masse incroyable : si bien que les USA n’archivent pas tout : ils garderaient tout le trafic pendant 5 jours, tous les headers (IP, page visitée, date) pendant 1 mois, et ne garderaient plus longtemps que les informations sensibles : celles comprenant des mot clés qu’ils souhaitent archiver, ou celles chiffrées et qui concernent une personne qu’ils veulent espionner : ils se disent que d’ici quelques années, ils auront peut-être la technologie pour le déchiffrer. Le plus étonnant est que, pris de court, un Obama tout penaud avait même admis en 2013 qu’il fallait parfois renoncer à certaines libertés afin de mieux se défendre contre le terrorisme.
Et puis pshitt.. 5 ans plus tard, plus que jamais, tout le monde utilise Facebook, Google et consorts.
Les différents niveaux d’espionnage
Rassurez-vous d’emblée : il est impossible, dans notre société, d’être anonyme
- En physique, le gouvernent vous piste partout : passeport vérifié lors de toute entrée/sortie du territoire. Cartes d’identité, carte vitale. Les cartes bancaires ne sont pas automatiquement à disposition du gouvernement (Collomb ou son prédécesseur je ne sais plus, avait quand même dit qu’il aimerait bien que l’état puisse accéder directement aux logs d’utilisations de toutes les cartes bancaires.. quel monde merveilleux), cependant avec le jugement qui va bien, c’est possible d’aller lire dans un historique de compte en banque
- En physique, votre téléphone vous piste partout : la carte SIM est par définition unique : le téléphone va « borner » toutes les (quelques minutes ?) pour vérifier l’antenne la plus proche et à cette occasion, votre opérateur (et la police sur demande spéciale, à laquelle déjà lorsque j’étais chez Bouygues en 2006, les opérateurs étaient tenus de répondre en 48h) savent où vous êtes.
- En physique enfin, si vous activez (par ordre de distance de découverte) un des 4 réseaux (GPS, Wifi, Bluetooth, NFC), une personne située suffisamment proche peut connaître votre emplacement : là encore le gouvernement peut savoir où vous êtes. Et assez facilement, avec le système des écoutes, il peut écouter vos communications, et (probablement) lire vos SMS directement sur les antennes relais
- En virtuel, les opérateurs internet, comme nous l’avons vu plus haut, sont donc « contaminés » lorsqu’ils passent par des câbles transatlantiques : quels gouvernements payent pour accéder aux données US ? la France fait elle la même chose sur ses câbles ? On ne sait pas, mais il est très probable que la France ne sait pas déchiffrer le SSL.
- En virtuel, votre système d’exploitation envoie régulièrement des informations : applications téléchargées, mise à jour, données personnelles (ou pas s’il respecte le RGPD). Puisque les agences américaines on accès à Google et Apple, elles peuvent donc les voir
- A noter notamment que Android permet à une application « de base » qui demande peu de droits, d’auto augmenter ses droits en se mettant à jour en même temps que l’OS : toute application Google peut donc facilement passer inaperçue dans une majorité d’OS et passer en mode espionnage
- Android a également un mécanisme lui permettant, en se loguant sur le compte Google de l’utilisateur, de « forcer » une suppression ou une installation de fichier à distance sur un téléphone. Google utilise cela pour soi-disant la sécurité : exemple : supprimer à distance un virus qui se serait répandu sur ses téléphones. Autrement dit, Google Play laisse en permanence une backdoor ouverte pour Google
- Enfin en virtuel, (au cas où certaines données ne seraient pas encore arrivées dans les mains des gouvernements et leurs sbires de sociétés privées), l’usage d’une entreprise « délatrice » (Google, Facebook, Apple etc.. Snowden en citait 9 pour PRISM, mais il y a d’autres programmes d’espionnage), toutes les données contenues par vos comptes personnels sont envoyés : ce qui pour peu qu’on utilise Chrome sur un téléphone Android, ou Safari sur Apple, veut dire tout : contacts, messages privés, historique de navigation, photos, emplacements GPS, trajets, ….
Vous voyez que cela va très loin, et afin de relativiser l’importance de cet article : nous n’allons chercher qu’à minimiser les ingérences des gouvernements et GAFAM sur ces « couches » 5 et 6, pas sur les autres..
Les alternatives à IOS et Android
Alors, venons-en au fait me direz vous ? Comment avoir un smartphone qui respecte un peu plus ma vie privée. Voici toutes les alternatives qui vivotent encore un peu en 2019.
TIZEN
Tizen est utilisé par Samsung sur ses montres connectées. Le Samsung Z4 est sorti en mai 2017 et est le dernier téléphone compatible avec cet OS. Autant dire que cet OS, dans la pratique, n’est utilisé qu’épisodiquement par Samsung : il est probable que la partie « grand public » meure et qu’il subsiste uniquement pour les objets connectés : autos, TV, montres, … Le gros problème de cet OS est qu’il n’est pas compatible avec d’autres stores : les applications disponibles sont limitées.
Et le Z4, smartphone d’un écran de 4.5 pouces et caméra 5MP, ne fait pas vraiment rêver.
UBPORTS
Suite à l’abandon de Ubuntu Touch, le projet a été repris par des libristes pour le nom de UBPORTS. Le projet était très orienté « tablettes » à la base. Une vingtaine de téléphones sont compatibles mais là encore, il s’agit de modèles principalement de 2015 ou 2016 : des BQ, Meizu (chinois) ou téléphones Nexus fabriqués par Google. Et le « Purism Librem 5 », projet de téléphone libre qui devrait voir le jour le 5 janvier 2019 (mais son poids n’est pas encore connu, c’est un peu louche). Et les « Fairphones ».
La compatibilité est là aussi limitée et se réduit à des versions « petit écran » d’applications Ubuntu.
SailfishOS
Successeur de Meego, qui fut un moment porté par Intel et Nokia, SailfishOS est un dérivé de Linux, utilisant une base open source, mais avec une couche graphique propriétaire codée par la société Jolla. Sailfish est défendu par plusieurs pays tiers (dont la Russie, l’Inde) car chaque implémentation est libre, en se basant sur le coeur, d’apporter ses modifications : idéal pour un pays qui souhaite « contrôler » les OS vendus sur les téléphones de son pays.
Une petite dizaine de téléphones sont supportés, le « meilleur » étant le Sony Xperia X : pas récent, et surtout, l’écosystème reste contrôlé par quelques sociétés privées.
KaiOS
Il s’agit d’un OS destiné spécialement aux « featurephones » pour les pays en voie de développement : cependant il supporte la 4G, les applications, et pourrait en théorie être installé ailleurs. Mais voilà, cela reste 7 téléphones très simples, dont des « revivals » : un Nokia 8110
Paranoid Android
Basé plutôt sur la version Open Source d’Android, cette version customisée supporte 50 terminaux, pour la plupart anciens (et beaucoup de Sony). Par exemple, pour la marque OnePlus, c’est le OnePlus 3 T, sorti en 2016, donc il y a deux ans, qui est le téléphone le plus récent supporté. Inutile d’espérer mettre Paranoid sur un Samsung, Huawei ou LG récent.
CopperHeadOs
C’est une fausse bonne idée : cet OS a pour but d’augmenter la « sécurité » d’Android au sens : protection contre les hackers, les virus, les spammeurs.. mais pas du tout par rapport aux gouvernements ni au pistage de Google ! En plus ils ont le culot de vendre des Google Pixel 2 à 1000 euros lorsque le téléphone en vaut 500, ce qui « valorise » le prix de leur OS à 500 euros ! Même Microsoft n’a jamais osé vendre une version de Windows à ce prix !! Et ce projet ne supporte … que 2 téléphones de Google
CarbonRom (et les autres basés sur AOSP)
AOSP est la version « open source » de Android. CarbonRom supporte 31 téléphones, assez anciens. Surtout, il n’ y a pas d’emphase sur la protection contre les espionnages. C’est pareil avec OmniRom (32 téléphones) (qui affirme que leur priorité No 1 est la stabilité) ou Pixel Expérience ou Dirty Unicorns ou Resurrection Remix OS
Replicant
La plus orientée « privacy » mais basée seulement sur la version 6 d’Android. Elle ne supporte que 13 terminaux, anciens, surtout des Samsung; Sa particularité est non seulement de n’embarquer aucun produit Google, mais aussi aucun driver propriétaire (ce qui par défaut exclut une bonne partie du fonctionnement GPS, Wifi, Bluetooth..) ; et ces produits sont remplacés par des équivalents libres.
LineageOS / Google Free
C’est finalement le meilleur compromis : il peut rester de très rares fonctionnements Google par défaut (comme le navigateur Chrome et le gestionnaire DNS qui « informent » Google). Mais en paramétrant bien, on peut tout supprimer : et avoir accès tout de même à la plupart des applications Android, via des magasins d’application alternatifs comme APKPure. Et il y après de 200 téléphones supportés, sans compter les anciens que son prédécesseur Cyanogenmod gérait.
« Google Free » est un dérivé de LineageOS dans laquelle le paquet optionnel des Google Apps est exclus et remplacé par des applications libres.
crDroid rajoute des fonctionnalités à LineageOS, mais n’est pas du tout porté sur la privacy. Et les téléphones supportés sont un sous ensemble (environ la moitié) de ceux de LineageOS.